Windows 离线部署

这篇文章将指导您在离线或网闸环境中安装和部署 Bitwarden 到您自己的 Windows 服务器。请查看 Bitwarden 文档。

[译者注]： (air-gapped) 网络，是指与外部网络（如互联网或其他外部系统）完全隔离的计算机网络。这种隔离通过物理或逻辑手段实现，确保网络无法与外部环境进行数据交换，从而增强安全性。

要求

ª - 下载 Docker Engine 时，Docker Compose 会作为插件自动安装。。

另外，请确保满足以下要求：

• 使用具有 Internet 访问权限的机器，您已经从 Bitwarden 服务器存储库的下载了最新的 docker-stub.zip 或 docker-stub-EU.zip 文件，并已将该文件传输到您的服务器。

• 离线 SMTP 服务器已在您的环境中设置并处于活动状态。

运行您的 Bitwarden 部署的服务器不需要允许出站流量访问网络外部的任何地址，但客户端应用程序必须配置为访问服务器的完全限定域名 (FQDN)，默认情况下使用端口 80 和 443。在安装过程中，您可以选择使用不同的端口，但无论选择哪个端口，都必须开放这些端口以供客户端访问。

[译者注]：：即完全限定域名 (Fully Qualified Domain Name)，是互联网上用于标识特定主机或服务器的完整域名。它由主机名和域名组成，确保在全球范围内唯一地定位到一个网络资源。FQDN 从最具体的部分（主机名）到最一般的部分（顶级域名）依次排列，各部分之间用点（.）分隔。

例如，一个典型的 FQDN mail.example.com ：

• mail 是主机名，指定了特定的服务器或服务。

• example.com 是域名，指定了该主机所属的组织或实体。

• .com 是顶级域名 (TLD)，表示这是一个商业实体。

嵌套虚拟化

在 Windows 服务器上运行 Bitwarden 需要使用嵌套虚拟化。请检查您的 Hypervisor 文档以了解是否支持嵌套虚拟化以及如何启用它。

安装步骤

配置您的域名

默认情况下，Bitwarden 通过主机上的 80 (http) 和 443 (https) 端口提供服务。打开这些端口，以便可以从网络内部和/或外部访问 Bitwarden。您也可以在安装过程中选择不同的端口。

我们建议使用指向您的主机的 DNS 记录配置域名（例如，bitwarden.example.com），尤其是当您通过 Internet 提供 Bitwarden 服务时。

创建 Bitwarden 本地用户和目录

打开 PowerShell 并通过运行以下命令创建一个 Bitwarden 本地用户：

PS C:\> $Password = Read-Host -AsSecureString

运行上述命令后，在文本输入对话框中输入所需的密码。指定密码后，运行以下命令：

New-LocalUser "Bitwarden" -Password $Password -Description "Bitwarden Local Admin"

作为新创建的用户，在 C:\ 下创建一个 Bitwarden 文件夹：

PS C:\> mkdir Bitwarden

安装 Docker Desktop 后，导航至 Settings → Resources → File Sharing 然后将已创建的目录 (C:\Bitwarden) 添加到资源列表。选择 Apply & Restart 以应用您的更改。

配置您的机器

要使用 Bitwarden 服务器所需的资产配置您的机器：

1、在 C:\Bitwarden 中创建一个名为 bwdata 的新目录，并将 docker-stub.zip 解压到其中，例如：

解压缩后，bwdata 目录需要与 docker-compose.yml 文件的卷映射所期望的目录相匹配。如果您愿意，您也可以更改这些映射在主机上的位置。

2、编辑 bwdata\env\global.override.env 中的以下环境变量：

• globalSettings__baseServiceUri__vault=：输入您的 Bitwarden 实例的域名。

• globalSettings__sqlServer__ConnectionString=：将 RANDOM_DATABASE_PASSWORD 替换为在后续步骤中使用的安全密码。

• globalSettings__identityServer__certificatePassword：设置一个在后续步骤中使用的安全的证书密码。

• globalSettings__internalIdentityKey=：将 RANDOM_IDENTITY_KEY 替换为随机密钥字符串。

• globalSettings__oidcIdentityClientKey=：将 RANDOM_IDENTITY_KEY 替换为随机密钥字符串。

• globalSettings__duo__aKey=：将 RANDOM_DUO_AKEY 替换为随机密钥字符串。

3、为身份容器生成一个 identity.pfx 证书。您可以使用 OpenSSL 或使用任何工具来生成自签名证书。如果您使用的是 OpenSSL，请运行以下命令：

openssl req -x509 -newkey rsa:4096 -sha256 -nodes -keyout identity.key -out identity.crt -subj "/CN=Bitwarden IdentityServer" -days 10950

然后

openssl pkcs12 -export -out ./identity/identity.pfx -inkey identity.key -in identity.crt -passout pass:IDENTITY_CERT_PASSWORD

在上述命令中，将 IDENTITY_CERT_PASSWORD 替换为在步骤 2 中创建和使用的证书密码。

4、将 identity.pfx 移动到映射的卷目录（默认为 .\bwdata\identity）

5、将 identity.pfx 复制到 .\bwdata\ssl 目录。

6、在 .\bwdata\ssl 中创建一个以您的域命名的子目录。

7、在新创建的 .\bwdata\ssl\bitwarden.example.com 子目录中提供受信任的 SSL 证书和私钥。

8、在 .\bwdata\nginx\default.conf 中：

1. 将所有实例的 bitwarden.example.com 替换为您的域名，包括 Content-Security-Policy 标头。

2. 将 ssl_certificate 和 ssl_certificate_key 变量设置为步骤 7 中提供的证书和私钥的路径。

3. 根据您的证书设置，执行以下操作之一：

   • 如果您使用受信任的 SSL 证书，请将 ssl_trusted_certificate 变量设置为证书的路径。

   • 如果您使用自签名证书，请注释掉 ssl_trusted_certificate 变量。

9、在 .\bwdata\env\mssql.override.env 中，将 RANDOM_DATABASE_PASSWORD 替换为在步骤 2 中创建的密码。

10、在 .\bwdata\web\app-id.json 中，将 bitwarden.example.com 替换为您的域名。

下载和传输镜像

要获取 docker 镜像以在离线机器上使用：

1、从已连接互联网的机器上，下载如 docker-stub.zip 中的 docker-compose.yml 文件中所列的所有 bitwarden/xxx:latest docker 镜像，。

2、将每一个镜像保存为 .img 文件，例如：

docker image save -o mssql.img bitwarden/mssql:version

3、将所有 .img 文件传输到您的离线计机器上。

4、在离线机器上，加载每一个 .img 文件以创建本地 docker 映像，例如：

docker image load mssql.img

启动您的服务器

使用以下命令启动您的 Bitwarden 服务器：

docker-compose -f ./docker/docker-compose.yml up -d

验证所有容器是否正常运行：

docker ps

恭喜！ Bitwarden 现已启动并运行在 https://your.domain.com 了。在您的浏览器中访问网络密码库以确认其正常工作。

下一步

更新您的服务器

2. 将此新的 docker-stub.zip 存档解压缩并将其内容与当前 bwdata 目录中的内容进行比较，将任何新内容复制到 bwdata 中预先存在的文件中。 不要使用此较新的 docker-stub.zip 存档的内容直接覆盖您预先存在的 bwdata 目录，因为这会覆盖您已经完成的任何自定义配置工作。

3. 运行以下命令以使用已更新的配置和最新的容器重新启动服务器：

   复制

   docker-compose -f ./docker/docker-compose.yml down && docker-compose -f ./docker/docker-compose.yml up -d